万本电子书0元读

万本电子书0元读

顶部广告

基于数据科学的恶意软件分析电子书

本书侧重在将数据科学应用于恶意软件,旨在更全面地展示如何将数据科学技术应用于解决重大的网络安全问题。通过了解恶意软件的数据科学,您将能够更好地将数据科学应用到其他网络安全领域,比如网络攻、钓鱼邮件或可疑用户行为等检测工作。本书的第1~3章涵盖了理解本书后面讨论恶意软件数据科学技术所必需的基本逆向工程概念。第4章和第5章重关注恶意软件的关系分析,其中包括查看恶意软件集合之间的相似性和差异性,以识别针对组织的恶意软件攻活动。第6~9章涵盖了需要了解的关于理解、应用和实现基于机器学习恶意软件检测系统的所有内容。这些章节的内容还为将机器学习应用于其他网络安全场景提供了基础。第10~12章介绍深度学习的内容。本书的目标读者是那些有兴趣学习更多关于如何使用数据科学技术解决计算机安全问题的安全专业人士。

售       价:¥

纸质售价:¥59.20购买纸书

52人正在读 | 1人评论 6.2

作       者:(美)约书亚·萨克斯,(美)希拉里·桑德斯

出  版  社:机械工业出版社

出版时间:2020-02-01

字       数:14.2万

所属分类: 科技 > 计算机/网络 > 计算机理论与教程

温馨提示:数字商品不支持退换货,不提供源文件,不支持导出打印

为你推荐

  • 读书简介
  • 目录
  • 累计评论(1条)
  • 读书简介
  • 目录
  • 累计评论(1条)
每年都有数百万个恶意软件文件被创建,每天都会产生大量与安全相关的数据,安全已经成为一个“大数据”问题。所以,当防范恶意软件时,为什么不像数据科学家那样思考呢? 在本书中,安全数据科学家约书亚·萨克斯和希拉里·桑德斯展示了在构建自己的检测和情报系统时,如何应用机器学习、统计和数据可视化等技术。在概述了静态和动态分析等基础逆向工程概念之后,你将学习如何度量恶意软件样本中的代码相似性,并使用scikit-learn和Keras等机器学习框架构建和训练你自己的检测器。 通过阅读本书,你将学习如何:  © 通过共享代码分析,识别由相同攻组织编写的新恶意软件  © 通过建立自己的机器学习检测系统来捕获0day恶意软件  © 使用ROC曲线来度量恶意软件检测器的准确性,以帮助你选择解决安全问题的*途径  © 使用数据可视化技术来识别和探讨恶意软件攻活动、演变趋势和相互关系  © 使用Python实现基于深度神经网络的检测系统 无论你是一位想要为现有武器库丰富能力的恶意软件分析师,还是一位对攻检测和威胁情报感兴趣的数据科学家,本书都将帮助你保持领先地位。<br/>【推荐语】<br/>本书侧重在将数据科学应用于恶意软件,旨在更全面地展示如何将数据科学技术应用于解决重大的网络安全问题。通过了解恶意软件的数据科学,您将能够更好地将数据科学应用到其他网络安全领域,比如网络攻、钓鱼邮件或可疑用户行为等检测工作。本书的第1~3章涵盖了理解本书后面讨论恶意软件数据科学技术所必需的基本逆向工程概念。第4章和第5章重关注恶意软件的关系分析,其中包括查看恶意软件集合之间的相似性和差异性,以识别针对组织的恶意软件攻活动。第6~9章涵盖了需要了解的关于理解、应用和实现基于机器学习恶意软件检测系统的所有内容。这些章节的内容还为将机器学习应用于其他网络安全场景提供了基础。第10~12章介绍深度学习的内容。本书的目标读者是那些有兴趣学习更多关于如何使用数据科学技术解决计算机安全问题的安全专业人士。<br/>【作者】<br/>作者简介 约书亚·萨克斯( Saxe)是专业安全企业Sophos的首席数据科学家,他在Sophos公司负责领导一个安全数据科学研究团队。他还是Sophos公司基于神经网络的恶意软件检测器的主要发明者,它可以保护数以千万计的Sophos客户防范恶意软件。在加Sophos之前,他花了五年时间来管理美国国防高级研究计划局资助的美国政府安全数据研究项目。   希拉里·桑德斯(Hillary Sanders)是Sophos公司的高级软件工程师和数据科学家,她在为Sophos公司发明和产品化神经网络、机器学习和恶意软件相似性分析安全技术方面发挥了关键作用。在加Sophos之前,希拉里是Premise数据公司的数据科学家。她经常在Black Hat USA和BSides Las Vegas等安全会议上发表演讲。她曾在加州大学伯克利分校学习统计学。   评审专家简介 Gabor Szappanos毕业于布达佩斯罗兰大学,获得物理学学位。他的份工作是在计算机与自动化研究所为核电站发诊断软件和硬件。Gabor于1995年始从事反病毒工作,并于2001年加VirusBuster,负责处理宏病毒和脚本恶意软件;在2002年,他成为病毒实验室的负责人。2008年至2016年期间,他是反恶意软件测试标准组织(AMTSO)的董事会成员,于2012年加Sophos并担任首席恶意软件研究员。  <br/>
目录展开

译者序

前言

致谢

作者简介

评审专家简介

第1章 恶意软件静态分析基础

1.1 微软Windows可移植可执行文件格式

1.1.1 PE头

1.1.2 可选头

1.1.3 节头

1.2 使用pefile解析PE文件格式

1.3 检查恶意软件的图片

1.4 检查恶意软件的字符串

1.4.1 使用字符串程序

1.4.2 分析镜像字符串

1.5 小结

第2章 基础静态分析进阶:x86反汇编

2.1 反汇编方法

2.2 x86汇编语言基础

2.2.1 CPU寄存器

2.2.2 算术指令

2.2.3 数据传送指令

2.3 使用pefile和capstone反汇编ircbot.exe

2.4 限制静态分析的因素

2.4.1 加壳

2.4.2 资源混淆

2.4.3 反汇编技术

2.4.4 动态下载数据

2.5 小结

第3章 动态分析简介

3.1 为什么使用动态分析

3.2 恶意软件数据科学的动态分析

3.3 动态分析的基本工具

3.3.1 典型的恶意软件行为

3.3.2 在malwr.com上加载文件

3.3.3 在malwr.com上分析结果

3.4 基本动态分析的局限

3.5 小结

第4章 利用恶意软件网络识别攻击活动

4.1 节点和边

4.2 二分网络

4.3 恶意软件网络可视化

4.3.1 失真问题

4.3.2 力导向算法

4.4 使用NetworkX构建网络

4.5 添加节点和边

4.5.1 添加属性

4.5.2 将网络保存到磁盘

4.6 使用GraphViz实现网络可视化

4.6.1 使用参数调整网络

4.6.2 GraphViz命令行工具

4.6.3 向节点和边添加可视属性

4.7 构建恶意软件网络

4.8 构建共享图像关系网络

4.9 小结

第5章 共享代码分析

5.1 通过特征提取对样本进行比较

5.1.1 特征袋模型如何工作

5.1.2 N-gram

5.2 使用Jaccard系数量化相似性

5.3 使用相似性矩阵评价恶意软件共享代码估计方法

5.3.1 基于指令序列的相似性

5.3.2 基于字符串的相似性

5.3.3 基于导入地址表的相似性

5.3.4 基于API动态调用的相似性

5.4 构建相似图

5.5 扩展相似性比较

5.5.1 minhash概述

5.5.2 minhash详述

5.6 构建持续的恶意软件相似性搜索系统

5.7 运行相似性搜索系统

5.8 小结

第6章 理解基于机器学习的恶意软件检测方法

6.1 基于机器学习的检测引擎构建步骤

6.1.1 收集训练样本

6.1.2 提取特征

6.1.3 设计好的特征

6.1.4 训练机器学习系统

6.1.5 测试机器学习系统

6.2 理解特征空间和决策边界

6.3 是什么决定了模型的好和坏:过拟合与欠拟合

6.4 机器学习算法的主要类型

6.4.1 逻辑回归

6.4.2 k近邻算法

6.4.3 决策树

6.4.4 随机森林

6.5 小结

第7章 评价恶意软件检测系统

7.1 四种可能的检测结果

7.1.1 检出率和误报率

7.1.2 检出率和误报率之间的关系

7.1.3 ROC曲线

7.2 在评价中考虑基准率

7.2.1 基准率如何影响精确度

7.2.2 在部署环境中评价精确度

7.3 小结

第8章 构建基于机器学习的检测器

8.1 术语和概念

8.2 构建一个基于决策树的检测器雏形

8.2.1 训练你的决策树分类器

8.2.2 可视化决策树

8.2.3 完整的示例代码

8.3 使用sklearn构建实际的机器学习检测器

8.3.1 实际的特征提取

8.3.2 为什么不能使用所有可能的特征

8.3.3 使用哈希技巧压缩特征

8.4 构建工业级的检测器

8.4.1 特征提取

8.4.2 训练检测器

8.4.3 运行检测器检测新的二进制文件

8.4.4 至此我们实现了什么

8.5 评价检测器的性能

8.5.1 使用ROC曲线评价检测器的功效

8.5.2 计算ROC曲线

8.5.3 将数据拆分为训练集和测试集

8.5.4 计算ROC曲线

8.5.5 交叉验证

8.6 下一步工作

8.7 小结

第9章 可视化恶意软件趋势

9.1 为什么可视化恶意软件数据很重要

9.2 理解我们的恶意软件数据集

9.2.1 将数据加载到pandas中

9.2.2 使用pandas DataFrame

9.2.3 使用条件过滤数据

9.3 使用matplotlib可视化数据

9.3.1 绘制恶意软件大小和反病毒引擎检测之间的关系

9.3.2 绘制勒索软件检出率

9.3.3 绘制勒索软件和蠕虫检测率

9.4 使用seaborn可视化数据

9.4.1 绘制反病毒引擎检出的分布图

9.4.2 创建小提琴图

9.5 小结

第10章 深度学习基础

10.1 深度学习的定义

10.2 神经网络是如何工作的

10.2.1 神经元剖析

10.2.2 神经元网络

10.2.3 通用近似定理

10.2.4 构建自己的神经网络

10.2.5 向网络中添加一个新的神经元

10.2.6 自动生成特征

10.3 训练神经网络

10.3.1 利用后向传播优化神经网络

10.3.2 路径爆炸

10.3.3 梯度消失

10.4 神经网络的类型

10.4.1 前馈神经网络

10.4.2 卷积神经网络

10.4.3 自编码神经网络

10.4.4 生成式对抗网络

10.4.5 循环神经网络

10.4.6 残差网络

10.5 小结

第11章 使用Keras构建神经网络恶意软件检测器

11.1 定义模型的架构

11.2 编译模型

11.3 训练模型

11.3.1 提取特征

11.3.2 创建数据生成器

11.3.3 与验证数据协作

11.3.4 保存和加载模型

11.4 模型评价

11.5 使用回调强化模型训练过程

11.5.1 使用内置回调

11.5.2 使用自定义回调函数

11.6 小结

第12章 成为数据科学家

12.1 成为安全数据科学家之路

12.2 安全数据科学家的一天

12.3 高效安全数据科学家的特征

12.3.1 开放的心态

12.3.2 无穷的好奇心

12.3.3 对结果的痴迷

12.3.4 对结果的怀疑

12.4 未来的工作

附录 数据集和工具概述

累计评论(1条) 1个书友正在讨论这本书 发表评论

发表评论

发表评论,分享你的想法吧!

买过这本书的人还买过

读了这本书的人还在读

回顶部